Czy serwer WWW w strefie DMZ powinien mieć dostęp do MSSQL w sieci LAN?

12

To powinno być bardzo podstawowe pytanie i starałem się je zbadać i nie mogłem znaleźć solidnej odpowiedzi.

Załóżmy, że masz serwer WWW w DMZ i serwer MSSQL w sieci LAN. IMO i to, co zawsze uważałem za poprawne, polega na tym, że serwer sieciowy w strefie DMZ powinien mieć dostęp do serwera MSSQL w sieci LAN (być może trzeba by otworzyć port w zaporze ogniowej, to byłoby ok IMO).

Nasi koledzy z sieci mówią nam teraz, że nie możemy mieć dostępu do serwera MSSQL w sieci LAN z DMZ. Mówią, że wszystko w strefie DMZ powinno być dostępne tylko z sieci LAN (i sieci) oraz że strefa DMZ nie powinna mieć dostępu do sieci LAN, podobnie jak sieć nie ma dostępu do sieci LAN.

Więc moje pytanie brzmi: kto ma rację? Czy DMZ powinien mieć dostęp do / z sieci LAN? Lub, czy dostęp do sieci LAN z DMZ powinien być surowo zabroniony. Wszystko to zakłada typową konfigurację DMZ.

networking local-area-network dmz Allen
źródło

Odpowiedzi:

14

Prawidłowe bezpieczeństwo sieci stwierdza, że ​​serwery DMZ nie powinny mieć dostępu do sieci „Zaufanej”. Zaufana sieć może dostać się do DMZ, ale nie na odwrót. W przypadku serwerów internetowych z kopią zapasową, takich jak Twoja, może to stanowić problem, dlatego serwery baz danych kończą się w strefach DMZ. Tylko dlatego, że znajduje się w strefie DMZ, nie oznacza, że ​​MUSI mieć dostęp publiczny, zewnętrzna zapora sieciowa może nadal uniemożliwiać wszystkim dostęp do niej. Jednak sam serwer DB nie ma dostępu do sieci.

W przypadku serwerów MSSQL prawdopodobnie potrzebujesz drugiej strefy DMZ ze względu na potrzebę rozmowy z AD DC w ramach jej normalnego funkcjonowania (chyba że używasz kont SQL zamiast zintegrowanych z domeną, w którym to momencie jest to dyskusja). Druga strefa DMZ byłaby domem dla serwerów Windows, które potrzebują pewnego rodzaju publicznego dostępu, nawet jeśli są najpierw proxy przez serwer WWW. Ludzie zajmujący się bezpieczeństwem sieci stają się słabi, gdy uważają, że domeniczne maszyny uzyskujące dostęp publiczny uzyskują dostęp do kontrolerów domeny, co może być trudne. Jednak Microsoft nie pozostawia dużego wyboru w tej kwestii.

sysadmin1138
źródło
@Allen - nie wiemy, co mówią twoi koledzy z sieci. @ Sysadmin1138 mówi ci dobry projekt.
mfinni
Tak, rozumiem co on mówi. Myślę, że w przeszłości powiedziano mi, że nasz mssql był w sieci LAN, kiedy tak naprawdę był w innej strefie DMZ, jak opisuje
Allen
Jak to się ma do zgodności z PCI, która nakazuje, aby serwer bazy danych NIE przebywał w strefie DMZ? Z tym mam do czynienia, umożliwiając serwerom internetowym w strefie DMZ dostęp do serwera SQL, który musi znajdować się w sieci LAN lub innej strefie DMZ ...
Wsparcie IT
Wsparcie @IT, które czasami rozwiązuje się przez dodanie kolejnej warstwy DMZ. Warstwa 1 to twoja farma internetowa, warstwa 2 to twoja farma DB. Obie warstwy są zapory ogniowej z dowolnej innej warstwy.
sysadmin1138
4

Teoretycznie jestem z chłopakami z sieci. Każde inne ustawienie oznacza, że ​​gdy ktoś naruszy serwer WWW, ma drzwi do Twojej sieci LAN.

Oczywiście rzeczywistość musi odgrywać pewną rolę - jeśli potrzebujesz danych na żywo dostępnych zarówno z DMZ, jak i LAN, naprawdę masz niewiele opcji. Prawdopodobnie sugerowałbym, że dobrym kompromisem byłaby „brudna” wewnętrzna podsieć, którą mogłyby żyć serwery takie jak serwer MSSQL. Ta podsieć byłaby dostępna zarówno z DMZ, jak i LAN, ale byłaby zaporą ogniową uniemożliwiającą inicjowanie połączeń z LAN i DMZ.

Cry Havok
źródło
2
Oto co robimy. Publiczne serwery sieciowe znajdują się w strefie DMZ. Serwery DB, do których wysyłają zapytania, znajdują się w innej strefie DMZ. Żadna z nich nie może nawiązywać połączeń z siecią korporacyjną, chociaż sieć korporacyjna może nawiązywać z nimi połączenia.
mfinni
Naprawdę? (pytając, a nie sarkastycznie) Czy to nie znaczy, że mają sposób, aby dotrzeć do JEDNEGO z twoich serwerów SQL (lub instancji)? To są drzwi do sieci LAN, ale dość wąskie. Musisz wtedy skompromitować tę dokładną usługę na tym serwerze, aby otworzyć drzwi. Myślę, że bardzo wąskie drzwi. Umieszczenie serwerów w drugiej strefie DMZ nadal pozwala każdemu, kto naruszył dostęp IIS do danych w tym SQL.
Gomibushi,
1

Jeśli wszystko, co przepuszczasz przez zaporę, to połączenia SQL z serwera DMZ do serwera MS-SQL, nie powinno to stanowić problemu.

David Mackintosh
źródło
-1

Publikuję swoją odpowiedź, ponieważ chcę zobaczyć, jak głosowała ...

Serwer WWW w strefie DMZ powinien mieć dostęp do serwera MSSQL w sieci LAN. Jeśli nie, to jak proponujesz uzyskać dostęp do serwera MSSQL w sieci LAN? Nie mogłeś!

Allen
źródło
„Could” i „Should” to dwie bardzo różne rzeczy.
ITGuy24
Zgadza się, więc jak proponujesz stronę internetową opartą na bazie danych uruchomioną na warstwie www?
Allen